How to add a policy to the permission policy of IAM roles that allows only users verified through the Cognito user pool to download files during S3 download.如何追加一个策略，使得该策略可以在S3下载时，仅允许通过Cognito用户池验证的用户

ご回答ありがとうございます。私は前にこう書きました。第三者のダウンロードを制限したいのです。しかし、私のすべてのダウンロード方法を制限しました。私はどのようにこの戦略を書くべきですか。 例 { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "s3:", "Resource": [ "arn:aws:s3:::your-bucket-name/", "arn:aws:s3:::your-bucket-name" ], "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:sts::account-id:assumed-role/Cognito_identity_pool_name/Cognito_identity_id", "arn:aws:sts::account-id:assumed-role/Cognito_identity_pool_name/Cognito_identity_id/" ] } } } ] }

S3バケットポリシーでアクセスを制御するのであればCognitoのIDプールに紐づけたIAMロールのARNでおそらくアクセス制御することが出来ると思います。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::your-bucket-name/*",
                "arn:aws:s3:::your-bucket-name"
            ],
            "Condition": {
                "StringNotLike": {
                    "aws:PrincipalArn": [
                        "arn:aws:iam::AWSAccountID:role/IAMRoleNAME"
                    ]
                }
            }
        }
    ]
}

ご回答ありがとうございます。このS3バケットポリシーの意味が「S 3のファイルをダウンロードできるのは、「arn:aws:iam::AWSAccountID:role/IAMRoleNAME」というユーザープールを通過したユーザーのみです。」ですか

このバケットポリシーを使用する場合は「arn:aws:iam::AWSAccountID:role/IAMRoleNAME」というIAMロールを使用している場合にのみS3へアクセスできるようになると思います。

そうか、S 3にポリシーが設定されていなければ、IAMユーザーなら誰でもそこからファイルをダウンロードできますか。